📰 Informação fresquinha chegando para você!
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Progress Software disse aos clientes do ShareFile para desligarem os servidores Windows que executam seus controladores de zona de armazenamento, confirmando ao The Hacker News que está respondendo a uma “ameaça de segurança externa confiável”.
A empresa desativou temporariamente o acesso às contas afetadas, uma medida que afirma ter tomado “por muita cautela” enquanto trabalha com especialistas em segurança internos e externos.
A empresa afirma não ter indicação de acesso não autorizado a quaisquer contas ou dados do ShareFile e que notificou os clientes após saber da ameaça.
O que o Progress não disse é qual é a ameaça ou quem está por trás dela.
O pedido se tornou público quando um cliente postou o e-mail da empresa no r/sysadmin do Reddit em 10 de julho. A Progress confirmou a interrupção em sua página de status, listando os clientes do controlador de zona de armazenamento como "não operacionais" e o incidente como sob investigação a partir das 12h12. Atualização EDT.
Somente o controlador de zona de armazenamento é afetado, e não as contas padrão do ShareFile somente na nuvem. O controlador é um servidor que a própria empresa administra, para que os arquivos possam permanecer em seu próprio armazenamento enquanto ela ainda usa a nuvem do ShareFile para compartilhá-los e gerenciá-los.
O controlador geralmente fica na borda da rede, acessível pela Internet. Essa exposição o torna útil e um alvo. Ordenar aos clientes que o coloquem totalmente off-line, em vez de apenas corrigi-lo, é um passo notável.
Essa escolha é em si uma indicação. Se existisse uma solução para esta ameaça, a Progress estaria dizendo aos clientes para aplicá-la; a ordem de desligamento sugere que ainda não há nenhum. Isso geralmente significa uma falha recém-descoberta que a empresa está correndo para corrigir, embora a mesma etapa também se encaixe em uma ameaça que um patch não pode resolver, como chaves roubadas ou um problema do lado da Progress.
A sua afirmação de que nenhuma conta ou dado foi acedido também é uma formulação cuidadosa e não exclui problemas para os próprios controladores.
O que fazer agora
Siga a ordem de desligamento primeiro. Mantenha os controladores afetados off-line até que o Progress diga qual é a ameaça e quando é seguro reiniciar.
Separadamente, confirme se sua versão é a atual: 5.12.4 ou posterior na linha 5.x ou uma versão 6.x. Isso elimina as falhas corrigidas no início deste ano, mas o Progress não disse que elimina a ameaça atual, por isso não trate isso como uma permissão para reiniciar.
Se um controlador estiver acessível pela Internet, trate-o como um possível incidente. Preserve os registros e inicie o processo de resposta a incidentes. Em seguida, verifique se há arquivos .aspx desconhecidos nas pastas da Web e nos caminhos de armazenamento que você não definiu. Um servidor com aparência limpa não é prova de que esteja limpo.
ShareFile já enfrentou isso antes. Em 2023, enquanto o produto ainda pertencia à Citrix, os invasores exploraram uma falha não autenticada no mesmo Controlador de Zonas de Armazenamento (CVE-2023-24489).
A CISA sinalizou-o como explorado ativamente, e a Citrix cortou os controladores não corrigidos da nuvem ShareFile, o mesmo bloqueio de acesso que a Progress impôs agora.
A Progress, que adquiriu o ShareFile em 2024, já havia resistido a um ataque de transferência em massa de arquivos: o MOVEit, cujo dia zero de 2023 foi explorado pelo grupo Clop e atingiu mais de 2.700 organizações.
O controlador de zonas de armazenamento também tinha duas falhas críticas que a watchTowr revelou em abril e a Progress corrigiu em março, embora a empresa não tenha conectado a ameaça atual a elas e nenhuma delas tenha sido relatada como explorada.
A questão central ainda está sem resposta: a Progress colocou estes sistemas offline e está a trabalhar com especialistas externos, mas não disse qual é a ameaça ou quando os clientes podem colocá-los novamente online com segurança.
A empresa desativou temporariamente o acesso às contas afetadas, uma medida que afirma ter tomado “por muita cautela” enquanto trabalha com especialistas em segurança internos e externos.
A empresa afirma não ter indicação de acesso não autorizado a quaisquer contas ou dados do ShareFile e que notificou os clientes após saber da ameaça.
O que o Progress não disse é qual é a ameaça ou quem está por trás dela.
O pedido se tornou público quando um cliente postou o e-mail da empresa no r/sysadmin do Reddit em 10 de julho. A Progress confirmou a interrupção em sua página de status, listando os clientes do controlador de zona de armazenamento como "não operacionais" e o incidente como sob investigação a partir das 12h12. Atualização EDT.
Somente o controlador de zona de armazenamento é afetado, e não as contas padrão do ShareFile somente na nuvem. O controlador é um servidor que a própria empresa administra, para que os arquivos possam permanecer em seu próprio armazenamento enquanto ela ainda usa a nuvem do ShareFile para compartilhá-los e gerenciá-los.
O controlador geralmente fica na borda da rede, acessível pela Internet. Essa exposição o torna útil e um alvo. Ordenar aos clientes que o coloquem totalmente off-line, em vez de apenas corrigi-lo, é um passo notável.
Essa escolha é em si uma indicação. Se existisse uma solução para esta ameaça, a Progress estaria dizendo aos clientes para aplicá-la; a ordem de desligamento sugere que ainda não há nenhum. Isso geralmente significa uma falha recém-descoberta que a empresa está correndo para corrigir, embora a mesma etapa também se encaixe em uma ameaça que um patch não pode resolver, como chaves roubadas ou um problema do lado da Progress.
A sua afirmação de que nenhuma conta ou dado foi acedido também é uma formulação cuidadosa e não exclui problemas para os próprios controladores.
O que fazer agora
Siga a ordem de desligamento primeiro. Mantenha os controladores afetados off-line até que o Progress diga qual é a ameaça e quando é seguro reiniciar.
Separadamente, confirme se sua versão é a atual: 5.12.4 ou posterior na linha 5.x ou uma versão 6.x. Isso elimina as falhas corrigidas no início deste ano, mas o Progress não disse que elimina a ameaça atual, por isso não trate isso como uma permissão para reiniciar.
Se um controlador estiver acessível pela Internet, trate-o como um possível incidente. Preserve os registros e inicie o processo de resposta a incidentes. Em seguida, verifique se há arquivos .aspx desconhecidos nas pastas da Web e nos caminhos de armazenamento que você não definiu. Um servidor com aparência limpa não é prova de que esteja limpo.
ShareFile já enfrentou isso antes. Em 2023, enquanto o produto ainda pertencia à Citrix, os invasores exploraram uma falha não autenticada no mesmo Controlador de Zonas de Armazenamento (CVE-2023-24489).
A CISA sinalizou-o como explorado ativamente, e a Citrix cortou os controladores não corrigidos da nuvem ShareFile, o mesmo bloqueio de acesso que a Progress impôs agora.
A Progress, que adquiriu o ShareFile em 2024, já havia resistido a um ataque de transferência em massa de arquivos: o MOVEit, cujo dia zero de 2023 foi explorado pelo grupo Clop e atingiu mais de 2.700 organizações.
O controlador de zonas de armazenamento também tinha duas falhas críticas que a watchTowr revelou em abril e a Progress corrigiu em março, embora a empresa não tenha conectado a ameaça atual a elas e nenhuma delas tenha sido relatada como explorada.
A questão central ainda está sem resposta: a Progress colocou estes sistemas offline e está a trabalhar com especialistas externos, mas não disse qual é a ameaça ou quando os clientes podem colocá-los novamente online com segurança.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #urgente # #progress #diz #aos #clientes #do #sharefile #para #desligarem #controladores #de #zona #de #armazenamento #devido #a #ameaças #à #segurança
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário